d É c i s i o n - regie-energie.qc.capublicsde.regie-energie.qc.ca/projets/536/docprj/r-4117... ·...
TRANSCRIPT
D É C I S I O N
QUÉBEC RÉGIE DE L’ÉNERGIE
D-2020-118 R-4117-2020 10 septembre 2020
PRÉSENTE :
Sylvie Durand
Régisseur
Hydro-Québec
Demanderesse
et
Personne intéressée dont le nom apparaît ci-après
Décision procédurale sur la demande d’intervention et le
budget de participation et décision sur le fond relative à la
demande d’adoption des normes de fiabilité CIP-003-8,
CIP-005-6, CIP-008-6, CIP-010-3 et CIP-013-1
Demande d’adoption de normes de fiabilité (normes
CIP-003-8, CIP-005-6, CIP-008-6, CIP-010-3 et CIP-013-1)
D-2020-118, R-4117-2020, 2020 09 10 3
Demanderesse :
Hydro-Québec
représentée par Mes Jean-Olivier Tremblay et Joelle Cardinal.
Personne intéressée :
Rio Tinto Alcan inc.
représentée par Me Pierre D. Grenier.
4 D-2020-118, R-4117-2020, 2020 09 10
TABLE DES MATIÈRES
1. INTRODUCTION ..................................................................................................... 5
2. CADRE D’EXAMEN DE LA DEMANDE ............................................................. 8
3. DEMANDE D’INTERVENTION ET BUDGET DE PARTICIPATION ......... 12
4. NORMES DE FIABILITÉ ..................................................................................... 14
4.1 ADOPTION DES NORMES ................................................................................................. 14
4.2 DATES D’ENTRÉE EN VIGUEUR ...................................................................................... 22
5. MODIFICATIONS AU GLOSSAIRE ................................................................ 224
6. MODIFICATIONS AU REGISTRE ..................................................................... 29
DISPOSITIF ..................................................................................................................... 29
D-2020-118, R-4117-2020, 2020 09 10 5
1. INTRODUCTION
[1] Le 25 février 2020, Hydro-Québec, par sa direction principale – Contrôle des
mouvements d’énergie et exploitation du réseau, désignée de façon provisoire à titre de
Coordonnateur de la fiabilité au Québec (le Coordonnateur), dépose à la Régie de l’énergie
(la Régie), en vertu des articles 31 (5°), 85.2, 85.6 et 85.7 de la Loi sur la Régie de
l’énergie1, une demande visant l’adoption des normes de fiabilité de la North American
Electric Reliability Corporation (NERC) CIP-003-8, CIP-005-6, CIP-008-6, CIP-010-3 et
CIP-013-1 (les Normes NERC)2 ainsi que de leur annexe Québec respective3 (Annexe
Québec), dans leurs versions française et anglaise4 (globalement les Normes CIP) (la
Demande d’adoption)5. Il demande également l’adoption des modifications au Glossaire
des termes et des acronymes relatifs aux normes de fiabilité (le Glossaire) qui sont
nécessaires à l’adoption des Normes NERC6.
[2] Le 26 mars 2020, la Régie note que le Coordonnateur soutient que les définitions
proposées au Glossaire dans le cadre du dosier R-4070-2018 pour les termes
« automatismes de réseau » et « plan de défense » soient reconduites au Glossaire, afin que
les Normes NERC puissent faire l’objet d’une interprétation cohérente au Québec. Elle
requiert les commentaires du Coordonnateur sur la pertinence de suspendre l’examen de la
Demande d’adoption tant qu’elle n’aura pas statué à l’égard des définitions proposées au
Glossaire dans le cadre du dossier R-4070-2018 et indique qu’elle précisera ultérieurement
les modalités de traitement de la Demande d’adoption7.
[3] Le 9 avril 2020, le Coordonnateur soumet ses commentaires à cet égard8.
[4] Le 16 avril 2020, la Régie requiert une proposition du Coordonnateur qui permettrait
de traiter avec diligence et célérité les Normes NERC9.
1 RLRQ, c. R-6.01. 2 Pièces B-0009 et B-0010. 3 Pièce B-0011. 4 La traduction française des normes est attestée par un traducteur agréé à la pièce B-0008. 5 Pièces B-0002 et B-0004. 6 Pièce B-0012. 7 Pièce A-0002. 8 Pièce B-0013 et dossier R-4070-2018, pièce B-0039. 9 Pièce A-0003 et dossier R-4070-2018, pièce A-0014.
6 D-2020-118, R-4117-2020, 2020 09 10
[5] Le 24 avril 2020, le Coordonnateur inclut au présent dossier la demande concernant
la modification du terme « automatisme de réseau » au lieu du terme « plan de défense »
ainsi que la nouvelle définition du terme « système de protection » puisque ce terme se
trouve dans la définition du terme actuel « plan de défense »10. De plus, le Coordonnateur
corrige une erreur qui s’est glissée dans la tabulation des estimations d’évaluation d’impacts
d’Hydro-Québec TransÉnergie (HQT). Il dépose une demande amendée en conséquence
(la Demande amendée)11. Le Coordonnateur indique qu’il a déposé dans le cadre du dossier
R-4070-2018 une demande réamendée reflétant le retrait des demandes liées à ces trois
termes.
[6] Le 1er mai 2020, la Régie publie sur son site internet un avis aux personnes
intéressées. Dans cet avis, elle indique, entre autres, que la Demande d’adoption et la
Demande amendée seront traitées par voie de consultation avec des interventions
formelles12. Le 4 mai 2020, le Coordonnateur confirme la diffusion de l’avis aux personnes
intéressées sur son site internet et le fait qu’un courriel a été transmis à cet effet à toutes les
entités visées par les normes de fiabilité13.
[7] Le 15 mai 2020, la Régie reçoit une demande d’intervention de Rio Tinto Alcan inc.
(RTA) accompagnée de son budget de participation et visant la prolongation de six mois
additionnels de la date d’entrée en vigueur des Normes CIP (la Prolongation)14.
[8] Le 21 mai 2020, la Régie convoque le Coordonnateur à une séance de travail
virtuelle et transmet l’ordre du jour de cette séance de travail ainsi que les annotations des
Normes NERC et de leur Annexe Québec identifiant certaines non-concordances15. La
séance de travail se tient le 28 mai 202016.
[9] Le 22 mai 2020, le Coordonnateur fait parvenir ses commentaires sur la demande
d’intervention de RTA17.
10 Pièce B-0014. 11 Pièces B-0015, B-0017, B-0018 et B-0019. 12 Pièce A-0005. 13 Pièce B-0020. 14 Pièces C-RTA-0002, C-RTA-0003 et C-RTA-0004 (ne peut être consultée sur le site internet de la Régie). 15 Pièce A-0006. 16 Pièces A-0007 et A-0008. 17 Pièce B-0021.
D-2020-118, R-4117-2020, 2020 09 10 7
[10] Le 25 mai 2020, la Régie informe les participants qu’elle n’a pas besoin de preuve
additionnelle de la part de RTA relativement à la Prolongation et demande à RTA d’ajuster
son budget en conséquence18.
[11] Le 12 juin 2020, le Coordonnateur dépose ses réponses aux engagements souscrits
lors de la séance de travail du 28 mai 2020 et dépose des Normes CIP revues en fonction
des annotations du personnel de la Régie19.
[12] Le 17 juin 2020, RTA informe la Régie qu’elle n’entend pas lui soumettre de
demande de paiement de frais, compte tenu de l’appui du Coordonnateur à l’égard de la
Prolongation20.
[13] Le 18 juin 2020, la Régie informe le Coordonnateur et RTA qu’elle a entamé son
délibéré en date du mercredi 17 juin 202021.
[14] Le 21 juillet 2020, le Coordonnateur dépose une version révisée de l’Annexe
Québec22 des normes en examen qui intègre des modifications de forme pour des fins
d’uniformisation avec les récents dépôts dans les autres dossiers23.
[15] La Régie se prononce, dans la présente décision, sur la demande d’intervention de
RTA, sur la Demande d’adoption du Coordonnateur, sur les modifications au Glossaire qui
lui sont associées et sur les dates d’entrée en vigueur des Normes CIP adoptées, ainsi que
sur les dates de retrait des normes devenues désuètes.
18 Pièce A-0009. 19 Pièces B-0024, B-0025, B-0026, B-0027, B-0028 et B-0029. 20 Pièce C-RTA-0005. 21 Pièce A-0010. 22 Pièce B-0032. 23 Pièce B-0030.
8 D-2020-118, R-4117-2020, 2020 09 10
2. CADRE D’EXAMEN DE LA DEMANDE
[16] Comme en témoigne l’historique de la norme CIP-003-8, les normes CIP24 ont fait
l'objet d'une évolution constante depuis leur création en 200625. Cet historique fait état des
versions successives de 1 à 8 et de l’approbation de la Federal Energy Regulatory
Commission (la FERC) des versions 3 et 5 à 8.
[17] Au Québec, l'évolution de ces normes est légèrement différente. Les principales
étapes sont présentées ci-dessous :
Dossier R-3699-2009
[18] Par ses décisions D-2012-091 et D-2013-17626, la Régie adopte, dans leur version 1,
les huit normes CIP suivantes ainsi que leur Annexe Québec respective :
CIP-003-1 – Cybersécurité – Mécanismes de gestion de la sécurité;
CIP-004-1 – Cybersécurité – Personnel et formation;
CIP-005-1 – Cybersécurité – Périmètre de sécurité électronique;
CIP-006-1 – Cybersécurité – Sécurité physique des actifs électroniques critiques;
CIP-007-1 – Cybersécurité – Gestion de la sécurité des systèmes;
CIP-008-1 – Cybersécurité – Déclaration des incidents et planification des mesures
d’intervention;
CIP-009-1 – Cybersécurité – Plan de rétablissement pour les actifs électroniques
critiques.
[19] Par sa décision D-2014-04827, la Régie adopte la norme suivante ainsi que son
Annexe Québec : CIP-002-1 – Cybersécurité – Identification des actifs électroniques
critiques.
24 CIP : Protection des infrastructures critiques (Critical Infrastructure Protection). 25 Pièce B-0025, norme CIP-003-8, p. 17 à 19. 26 Dossier R-3699-2009, décisions D-2012-091, p. 17 et D-2013-176, p. 18. 27 Dossier R-3699-2009, décision D-2014-048, p. 42.
D-2020-118, R-4117-2020, 2020 09 10 9
[20] Par sa décision D-2015-16828, la Régie suspend toutefois l’entrée en vigueur de
chacune de ces normes.
Dossier R-3947-2015
[21] Par sa décision D-2016-11929, la Régie adopte la version 5 des normes CIP suivantes
ainsi que leur Annexe Québec respective:
CIP-002-5.1 – Cybersécurité - Catégorisation des systèmes électroniques BES30;
CIP-003-5 – Cybersécurité - Mécanismes de gestion de la sécurité;
CIP-004-5.1 – Cybersécurité - Personnel et formation;
CIP-005-5 – Cybersécurité - Périmètres de sécurité électroniques;
CIP-006-5 – Cybersécurité - Sécurité physique des systèmes électroniques BES;
CIP-007-5 – Cybersécurité - Gestion de la sécurité des systèmes;
CIP-008-5 – Cybersécurité - Déclaration des incidents et planification des
mesures d’intervention;
CIP-009-5 – Cybersécurité - Plans de rétablissement des systèmes électroniques
BES;
CIP-010-1 – Cybersécurité - Gestion des changements de configuration et
analyses de vulnérabilité;
CIP-011-1 – Cybersécurité - Protection de l’information.
[22] Dans la même décision, la Régie fixe les dates d’entrée en vigueur des normes pour
les entités visées autres que les producteurs à vocation industrielle (PVI) et suspend leur
application aux installations PVI31.
[23] Par sa décision D-2016-13832, la Régie reporte la date d’entrée en vigueur des
normes CIP du 1er octobre 2016 au 1er janvier 2017 à l’égard des installations dont les
systèmes électroniques BES sont catégorisés à impact « moyen » ou « élevé ».
28 Dossier R-3699-2009 Phase 2, décision D-2015-168, p. 17. 29 Dossier R-3947-2015, décision D-2016-119. 30 BES désigne le système de production-transport de l’électricité. 31 Dossier R-3947-2015, décision D-2016-119, p. 19. 32 Dossier R-3947-2015, décision D-2016-138.
10 D-2020-118, R-4117-2020, 2020 09 10
[24] Dans le cadre de la phase 2 du dossier R-3947-2015, par sa décision D-2017-031, la
Régie met fin à la suspension applicable aux installations PVI et fixe la date d’entrée en
vigueur des normes CIP pour ces installations33.
Dossier R-4005-2017
[25] Par sa décision D-2017-06934, la Régie suspend, pour les entités visées par la
version 1 des normes CIP, l’entrée en vigueur des exigences E2.2 et E2.3 de la norme
CIP-003-5 à l’égard des systèmes électroniques BES dont l’impact est catégorisé « faible ».
[26] Par sa décision D-2017-11735, la Régie adopte les versions des normes CIP suivantes
ainsi que leur Annexe Québec respective :
CIP-003-6 – Cybersécurité – Mécanismes de gestion de la sécurité;
CIP-004-6 – Cybersécurité – Personnel et formation;
CIP-006-6 – Cybersécurité – Sécurité physique des systèmes électroniques BES;
CIP-007-6 – Cybersécurité – Gestion de la sécurité des systèmes;
CIP-009-6 – Cybersécurité – Plans de rétablissement des systèmes électroniques
BES;
CIP-010-2 – Cybersécurité – Gestion des changements de configuration et
analyses de vulnérabilité;
CIP-011-2 – Cybersécurité – Protection de l’information.
[27] Elle adopte également une nouvelle norme relative à la sécurité physique :
CIP-014-2 – Sécurité physique.
33 Dossier R-3947-2015 Phase 2, décision D-2017-031. 34 Dossier R-4005-2017, décision D-2017-069. 35 Dossier R-4005-2017, décision D-2017-117.
D-2020-118, R-4117-2020, 2020 09 10 11
Dossier R-4050-2018
[28] Par sa décision D-2018-10736, la Régie accueille partiellement la demande visant la
suspension des dates de mise en application des sections 2 et 3 de l’annexe 1 de la norme
CIP-003-6 applicables aux installations dont l’impact est catégorisé « faible ».
[29] Par sa décision D-2019-03337, la Régie adopte deux normes de fiabilité ainsi que
leur Annexe Québec :
CIP-002-5.1a – Cybersécurité – Catégorisation des systèmes électroniques BES;
CIP-003-7 – Cybersécurité – Mécanismes de gestion de la sécurité.
Présent dossier
[30] Tenant compte de cet historique en matière d’adoption de normes CIP, la Régie note
la fréquence des changements et des nombreuses mises à jour pour tenir compte de
nouvelles versions. La Régie souligne l’importance que les normes en matière de
cybersécurité CIP soient adoptées de manière continue et autant que possible avec célérité,
considérant leur évolution.
[31] À cet égard, la Régie rappelle que le réseau de transport au Québec est en constante
évolution, que ce soit, par exemple, par les différents ajouts et retraits d’équipements par
les différentes entités visées ou par l’évolution de la méthodologie d’identification des
éléments du réseau de transport principal (RTP).
[32] Or, lorsque les délais entre l’adoption des normes et leur entrée en vigueur sont
importants, la Régie estime que cette évolution risque d’influencer les impacts en
implantation, maintien et suivi de la conformité soumis par les entités visées lors de la
consultation publique.
[33] De plus, considérant les interrelations entre les différentes normes de fiabilité, le
Glossaire et le Registre, il doit exister une cohérence et une uniformisation dans l’ensemble
36 Dossier R-4050-2018, décision D-2018-107. 37 Dossier R-4050-2018, décision D-2019-033.
12 D-2020-118, R-4117-2020, 2020 09 10
des dossiers de fiabilité. Ce dernier élément entraine une complexité additionnelle dans le
traitement des dossiers de fiabilité et nécessite une vigilance permanente.
[34] Dans le présent dossier, la Régie note que l’identification dès le début du dossier en
lien avec les termes « automatisme de réseau » et « plan de défense » a permis un échange
efficace et constructif avec le Coordonnateur. Au terme de cet échange, le Coordonnateur
a proposé de reconduire au Glossaire ces modifications afin d’assurer que les Normes CIP
puissent faire l’objet d’une interprétation cohérente au Québec.
[35] Ainsi, la Régie a pu entamer son examen de la preuve afin de rendre une décision en
temps utile.
[36] C’est dans ce contexte que s’inscrit l’examen de la présente demande du
Coordonnateur.
3. DEMANDE D’INTERVENTION ET BUDGET DE PARTICIPATION
[37] La Régie rappelle que, pour obtenir le statut d’intervenant, une personne intéressée
doit, conformément aux articles 5, 6 et 8 du Règlement sur la procédure de la Régie de
l’énergie38 et à la satisfaction de la Régie, démontrer son intérêt à participer, sa
représentativité et l’objectif qu’elle vise par son intervention.
[38] Dans son appréciation de la demande d’intervention, la Régie tient compte du lien
entre les conclusions recherchées et l’intérêt de la personne intéressée. La demande
d’intervention doit ainsi démontrer la pertinence de l’apport de la personne intéressée à
l’étude du dossier, eu égard à son champ de compétence.
[39] Dans le cadre du présent dossier, la Régie a reçu une demande d’intervention de
RTA39.
38 RLRQ, c. R-6.01, r. 4.1. 39 Pièces C-RTA-0002, C-RTA-0003 et C-RTA-0004 (ne peut être consultée sur le site internet de la Régie).
D-2020-118, R-4117-2020, 2020 09 10 13
[40] RTA est préoccupée par la date d’entrée en vigueur des Normes CIP. Elle entend
traiter de cet enjeu et demande de prolonger d’au moins six mois la date d’entrée en vigueur
des normes par rapport à celle initialement proposée par le Coordonnateur.
[41] RTA soutient que la situation exceptionnelle de la pandémie de la COVID-19 et les
mesures gouvernementales prises au cours des derniers mois ont eu des répercussions
importantes, tant sur elle que sur les opérations des industries au Québec. À titre indicatif,
elle fait valoir l’incapacité de maintenir les ressources humaines et matérielles affectées aux
nombreux projets en cours, incluant, entre autres, la conformité aux nouvelles normes de
fiabilité qui seront adoptées à court et moyen termes.
[42] Dans ce contexte, RTA a dû prioriser la fiabilité actuelle de ses installations dans le
respect des normes de fiabilité en vigueur et de ses propres critères opérationnels pour
assurer le fonctionnement en continu de ses alumineries alimentées principalement par ses
groupes de production.
[43] En réponse à la demande de RTA, le Coordonnateur indique être au fait des
contraintes engendrées par la pandémie actuelle et comprend que les entités visées ont été
touchées à différents niveaux. Il a d’ailleurs indiqué à la Régie qu’un délai de trois mois a
été accordé à cet égard) par la FERC pour la mise en œuvre des normes CIP-005-6,
CIP-010-3 et CIP-013-1.
[44] Le Coordonnateur estime donc qu’une prolongation de six mois de la date d’entrée
en vigueur des Normes CIP est raisonnable eu égard aux circonstances actuelles40.
[45] La Régie est d’avis que la demande d’intervention de RTA, entité inscrite au
Registre des entités visées par les normes de fiabilité (le Registre) et directement visée par
les Normes CIP, fournit un apport pertinent et utile à l’examen du présent dossier.
[46] En conséquence, la Régie accorde le statut d’intervenant à RTA.
40 Pièce B-0021, p. 2.
14 D-2020-118, R-4117-2020, 2020 09 10
[47] En ce qui a trait aux frais encourus, la Régie prend acte du fait que RTA n’entend
pas soumettre de demande de paiement de frais, compte tenu de l’appui du Coordonnateur
au prolongement de six mois de la date d’entrée en vigueur des Normes CIP41.
4. NORMES DE FIABILITÉ
4.1 ADOPTION DES NORMES
[48] Le Coordonnateur demande l’adoption des normes suivantes de la NERC,
approuvées par la FERC, ainsi que de leur Annexe Québec, dans leurs versions française et
anglaise :
CIP-003-8 – Cybersécurité – Mécanismes de gestion de la sécurité;
CIP-005-6 – Cybersécurité – Périmètres de sécurité électronique;
CIP-008-6 – Cybersécurité – Déclaration des incidents et planification des mesures
d’intervention;
CIP-010-3 – Cybersécurité – Gestion des changements de configurations et analyses
de vulnérabilité;
CIP-013-1 – Cybersécurité – Gestion des risques de la chaîne
d’approvisionnement42.
[49] À l’exception de la nouvelle norme CIP-013-1, les versions antérieures des normes
CIP-003, CIP-005, CIP-008 et CIP-010 ont été adoptées par la Régie. Le Coordonnateur
demande ainsi, comme corollaire de l’adoption des normes, le retrait des normes
CIP-003-7, CIP-005-5, CIP-008-5 et CIP-010-2.
[50] Le Coordonnateur estime que les Normes NERC sont pertinentes pour la fiabilité du
réseau du Québec et qu’elles contribuent à l’harmonisation avec les réseaux voisins. Il fait
valoir que les modifications aux Normes NERC, énumérées ci-dessous, sont toutes aussi
pertinentes au Québec qu’en Amérique du Nord :
41 Pièce C-RTA-0005. 42 Pièces B-0015, p. 4 et B-0017, p. 4 et 5.
D-2020-118, R-4117-2020, 2020 09 10 15
modifications à l’alinéa 5.2 de l’annexe 1 de la norme CIP-003 pour répondre aux
objectifs de l’ordonnance no 84343 de la FERC, notamment à la préoccupation à
l’effet que les entités visées doivent mettre en œuvre des contrôles pour atténuer le
risque lié aux programmes malveillants provenant des actifs temporaires de tiers44;
modifications à la norme CIP-008 pour répondre à l’ordonnance no 84845 de la FERC
visant à augmenter la notification obligatoire des incidents de cybersécurité,
notamment les tentatives susceptibles de nuire au bon fonctionnement du BES46;
modifications aux normes CIP-005 et CIP-010 et élaboration de la nouvelle norme
CIP-013-1 suite à l’ordonnance 82947 de la FERC :
o les modifications à la norme CIP-005 répondent à la préoccupation de la
FERC en lien avec l’accès à distance par les fournisseurs;
o les modifications à la norme CIP-010 répondent à la préoccupation de la
FERC associée à l’intégrité et à l’authenticité des logiciels;
o la nouvelle norme CIP-013 traite de la gestion de la chaîne
d’approvisionnement pour le matériel, les logiciels, les systèmes
informatiques et les réseaux de systèmes de contrôle industriels ayant une
incidence sur les opérations du BES48.
[51] Le Coordonnateur explique que les exigences en matière de gestion de la chaîne
d’approvisionnement visent à protéger les aspects de cette chaîne relevant de la volonté des
entités responsables et s’appliquent aux systèmes électroniques BES à impact élevé ou
moyen, conformément au processus d’inventaire et de catégorisation requis par la norme
CIP-002-5.1a. Les chaînes d’approvisionnement pour les technologies de l’information et
des communications ainsi que pour les systèmes de contrôle industriels présentent des
risques en permettant potentiellement l’introduction de menaces en matière de
cybersécurité.
[52] En conséquence, autant la nouvelle norme CIP-013-1 que les modifications
apportées à certains alinéas des normes CIP-005-6 et CIP-010-3 imposent aux entités
43 Ordonnance no 843 de la FERC, consultée par le Coordonnateur le 8 octobre 2019. 44 Pièce B-0018, norme CIP-003-8, p. 2. 45 Ordonnance no 848 de la FERC, consultée par le Coordonnateur le 8 octobre 2019. 46 Pièce B-0018, norme CIP-008-6, p. 3. 47 Ordonnance no 829 de la FERC, consultée par le Coordonnateur le 13 août 2019. 48 Pièce B-0018, normes CIP-005-6, CIP-010-3 et CIP-013-1, p. 3 et 4.
16 D-2020-118, R-4117-2020, 2020 09 10
d’élaborer et de mettre en œuvre un plan abordant au moins quatre objectifs définis dans
l’ordonnance de la FERC, soit :
intégrité et authenticité des logiciels ;
accès à distance par les fournisseurs ;
planification des systèmes d’information ;
gestion des risques liés aux fournisseurs et contrôles d’approvisionnement49.
[53] En ce qui a trait aux spécificités québécoises, le Coordonnateur reconduit celles déjà
adoptées par la Régie50, notamment le champ d’application et les dispositions particulières,
qui exemptent certaines centrales et leur poste élévateur.
[54] Quant au lien entre l’objectif des Normes NERC qui fait référence au BES et le
champ d’application RTP indiqué à l’Annexe Québec, le Coordonnateur explique que la
section « Objet » des normes établit le résultat devant être atteint par leur application. Aux
États-Unis, les normes de la famille CIP protègent le BES. En appliquant les normes NERC
au RTP au Québec et en assurant conséquemment sa fiabilité, l’objectif visé est d’assurer
la fiabilité du BES telle que spécifiée dans l’objet de norme et dont la portée est plus
grande51.
[55] Selon l’évaluation préliminaire de l’impact, le Coordonnateur estime les impacts
monétaires pour l’implantation, le maintien et le suivi de la conformité tels qu’énumérés
ci-dessous. Il présente également les commentaires soumis par les entités visées lors de la
consultation publique:
impact faible pour la norme CIP-003-852;
49 Pièce B-0018, normes CIP-005-6, CIP-010-3 et CIP-013-1, p.1. 50 Dossier R-3947-2015, décision D-2016-119. 51 Pièce B-0029, p. 5, R2. 52 Pièce B-0018, norme CIP-003-8, p. 3.
D-2020-118, R-4117-2020, 2020 09 10 17
impact modéré pour la norme CIP-008-653;
impact modéré pour la norme CIP-005-654;
impact modéré pour la norme CIP-010-355;
53 Pièce B-0018, norme CIP-008-6, p. 4. 54 Pièce B-0018, normes CIP-005-6, CIP-010-3 et CIP-013-1, p. 4 et 5. 55 Pièce B-0018, normes CIP-005-6, CIP-010-3 et CIP-013-1, p. 4 et 5.
18 D-2020-118, R-4117-2020, 2020 09 10
impact modéré pour la norme CIP-013-156.
Opinion de la Régie
[56] La Régie rappelle que la norme CIP-002-5.1a, qui ne fait pas partie des normes en
examen, est prépondérante quant à l’application des autres normes de la famille CIP. Elle
permet d’identifier et de catégoriser les systèmes, ce qui constitue la première étape du
cadre de cybersécurité.
[57] La Régie rappelle également qu’elle s’est déjà prononcée sur l’importance qu’elle
accorde à la famille des normes CIP, qui a pour objectif la sécurité des infrastructures
cybernétiques qui sont essentielles à la fiabilité du transport d’électricité au Québec. Dans
cette perspective, la Régie est d’avis que l’intérêt public commande l’adoption des normes
de fiabilité dont l’objectif est de protéger le BES contre des actes malveillants et d’en
assurer une application en temps utile.
[58] La Régie est d’avis que l’évolution des normes CIP en matière de cybersécurité est
nécessaire pour protéger les réseaux électriques contre les compromissions qui pourraient
entrainer un fonctionnement incorrect ou des instabilités dans le BES. Cette évolution est
également nécessaire pour réduire les risques en matière de cybersécurité susceptibles de
menacer la fiabilité du BES, que ce soit en définissant des exigences d’intervention en cas
d’incident de cybersécurité ou en établissant des contrôles de sécurité axés sur la gestion
des risques dans la chaine d’approvisionnement des systèmes électroniques BES.
[59] À cet égard, la Régie retient que les modifications de la NERC menant à la norme
CIP-003-8 visent à atténuer le risque lié aux programmes malveillants pouvant provenir des
56 Pièce B-0018, normes CIP-005-6, CIP-010-3 et CIP-013-1, p. 4 et 5.
D-2020-118, R-4117-2020, 2020 09 10 19
actifs temporaires des tiers, en mettant en œuvre des contrôles. Elle retient aussi que les
modifications à la norme CIP-008-5 - Déclaration des incidents et planification des mesures
d’intervention, visent à augmenter la notification obligatoire des incidents de cybersécurité,
notamment les tentatives susceptibles de nuire au bon fonctionnement du BES.
[60] La Régie prend acte du fait que la nouvelle norme NERC CIP-013-1, relative à la
gestion des risques dans la chaîne d’approvisionnement, a pour objectif de :
« Atténuer les risques de cybersécurité susceptibles de menacer la fiabilité du
système de production-transport d’électricité (BES) en établissant des contrôles de
sécurité axés sur la gestion des risques dans la chaîne d’approvisionnement des
systèmes électroniques BES »57.
[61] Elle retient que cette norme et les nouvelles exigences des normes CIP-005-6 et
CIP-010-3 ciblent, notamment et respectivement, la gestion de risque de
l’approvisionnement des systèmes électroniques BES, l’accès à distance par les
fournisseurs ainsi que l’intégrité et l’authenticité des logiciels.
[62] La Régie note que les normes CIP-005-6, CIP-010-3 et CIP-013-1 encadrent, pour
la première fois, les risques et les vulnérabilités associées à l’intégrité et à l’authenticité des
logiciels. Elles encadrent également les risques et les vulnérabilités associés à l’accès à
distance par les fournisseurs, ainsi qu’à la gestion de la chaîne d’approvisionnement pour
le matériel, les logiciels et les systèmes informatiques. Ces risques et vulnérabilités sont
susceptibles de menacer la fiabilité du BES58.
[63] Elle comprend que par les nouveaux éléments qui sont couverts dorénavant par ces
normes, la portée des Normes CIP est élargie.
[64] Elle souligne l’importance d’un arrimage rapide avec la NERC, d’autant plus
qu’aucune disposition dans les normes de fiabilité en vigueur au Québec à ce jour ne couvre
ces aspects.
[65] La Régie se déclare satisfaite des explications fournies par le Coordonnateur à
l’égard de la pertinence des Normes NERC. Tout comme le Coordonnateur, la Régie est
57 Pièce B-0025, norme CIP-013-1, p. 1. 58 Pièce B-0004, p. 6.
20 D-2020-118, R-4117-2020, 2020 09 10
d’avis que les Normes NERC sont importantes pour le maintien de la fiabilité du BES et
que leur application est pertinente au Québec. À cet égard, elle retient qu’en appliquant les
Normes NERC au RTP du Québec et en assurant conséquemment sa fiabilité, l’objectif
visé est d’assurer la fiabilité du BES tel que précisé dans l’objet de la norme et dont la
portée est plus grande59.
[66] En ce qui a trait à l’impact des Normes CIP, la Régie note que seules RTA et HQT
ont soumis des estimations monétaires. Selon les réponses aux commentaires reçus pendant
la période de consultation, Hydro-Québec Production indique n’avoir aucun commentaire
sur l’ensemble de l’avis de consultation des Normes CIP60. La Régie comprend que cette
dernière entité n’a aucun enjeu quant à la pertinence et à l’impact des Normes CIP sur ses
installations.
[67] De plus, la Régie note que les coûts engendrés pour RTA et HQT représentent un
estimé préliminaire des impacts financiers résultant de l’application de ces normes.
[68] Elle note également que ces coûts sont plus importants pour HQT pour les normes
CIP-005-6, CIP-010-3 et CIP-013-1. Or, considérant la nouvelle portée élargie résultant de
ces trois normes de fiabilité, la Régie considère que l’estimé préliminaire des impacts
financiers fourni par HQT représente une première évaluation qui s’arrime avec la teneur
en exigences de ces normes.
[69] La Régie est d’avis qu’il est possible que les entités visées réévaluent leurs coûts
dans le futur, à la hausse ou à la baisse selon les cas, à la suite de l’évolution de leur réseau
et de leurs façons de faire, de leur compréhension et interprétation des Normes CIP, mais
aussi de leur expérience, particulièrement dans le cas des coûts récurrents.
[70] Elle note qu’aucune des entités visées ne s’objecte à leur adoption au Québec.
[71] Enfin, la Régie se déclare satisfaite du niveau de concordance des textes français et
anglais des normes, aux fins de la présente décision. À cet égard, elle retient que la version
française des Normes NERC fait l’objet d’une attestation d’un traducteur agréé61.
59 Pièce B-0029, p. 5, R2. 60 Pièce B-0006, p. 1. 61 Pièce B-0024.
D-2020-118, R-4117-2020, 2020 09 10 21
[72] Par ailleurs, la Régie note que des modifications au Glossaire sont requises dans le
cadre de la Demande d’adoption. Elle en traitera à la section 5 de la présente décision.
[73] La Régie note également qu’il serait opportun de procéder à certaines modifications
au Registre dont elle traite à la section 6 de la présente décision.
[74] Compte tenu de ce qui précède, la Régie :
adopte les normes de la NERC CIP-003-8, CIP-005-6, CIP-008-6, CIP-010-3 et
CIP-013-1 ainsi que leur Annexe Québec, dans leurs versions française et
anglaise62;
retire les normes CIP-003-7, CIP-005-5, CIP-008-5 et CIP-010-2, devenues
désuètes, ainsi que leur Annexe Québec, dans leurs versions française et
anglaise.
[75] Par ailleurs, la Régie note que le Coordonnateur a déposé une version révisée de
l’Annexe Québec63 des normes en examen qui intègre des modifications relatives à la forme
pour des fins d’uniformisation avec les récents dépôts dans d’autres dossiers64, suivant la
mise en délibéré du dossier65.
[76] La Régie se questionne sur cette nouvelle pratique et sur la pertinence de procéder
auxdites améliorations à la suite de la mise en délibéré d’un dossier. La Régie invite donc
le Coordonnateur à soumettre toute suggestion d’amélioration de forme relative à l’Annexe
Québec en suivi de modifications lors du dépôt des textes des Normes CIP modifiés en
fonction des ordonnances contenues à la présente décision. La Régie se prononcera
ultérieurement sur la pertinence de procéder à ces améliorations de forme.
62 Pièces B-0025, B-0026 et B-0027. 63 Pièce B-0032. 64 Pièce B-0030. 65 Pièce A-0010.
22 D-2020-118, R-4117-2020, 2020 09 10
4.2 DATES D’ENTRÉE EN VIGUEUR
[77] L’entrée en vigueur aux États-Unis de la norme CIP-003-8 était prévue pour le
1er avril 2020, soit un délai de six mois suivant l’approbation réglementaire66.
[78] Quant à l’entrée en vigueur de la norme CIP-008-6, le plan de mise en œuvre aux
États-Unis précise que le délai entre l’approbation règlementaire et la mise en œuvre de la
norme doit être de 18 mois. La norme CIP-008-6 entrera en vigueur aux États-Unis le
1er janvier 202167.
[79] En ce qui a trait aux normes CIP-005-6, CIP-010-3 et CIP-013-1, leur entrée en
vigueur aux États-Unis était prévue pour le 1er juillet 2020, soit un délai de 18 mois suivant
l’approbation réglementaire68.
[80] Au Québec, le Coordonnateur propose les mêmes délais entre l’adoption des Normes
CIP par la Régie et leur entrée en vigueur.
[81] Le Coordonnateur demande à la Régie de fixer les dates d’entrée en vigueur des
normes de fiabilité qu’elle aura adoptées de façon à accorder le même délai d’entrée en
vigueur au Québec qu’ailleurs en Amérique du Nord, soit :
Au 1er avril 2021 pour la norme CIP-003-8;
Au 1er avril 2022 pour les normes CIP-005-6, CIP-008-6, CIP-010-3 et CIP-013-1.
[82] En conséquence, les dates de retrait des normes seraient les suivantes :
Au 1er avril 2021 pour la norme CIP-003-7;
Au 1er avril 2022 pour les normes CIP-005-5, CIP-008-5 et CIP-010-269.
66 Pièce B-0018, norme CIP-003-8, p. 2. 67 Pièce B-0018, norme CIP-008-6, p. 2. 68 Pièce B-0018, normes CIP-005-6, CIP-010-3 et CIP-013-1, p. 2. 69 Pièce B-0015, p. 4.
D-2020-118, R-4117-2020, 2020 09 10 23
[83] Par ailleurs, le Coordonnateur informe la Régie que, en reconnaissance des impacts
de la pandémie de COVID-19 aux États-Unis, la FERC a accepté, le 17 avril 2020, une
demande de la NERC émise le 6 avril 2020, visant à différer la mise en œuvre des normes
de fiabilité CIP-005-6, CIP-010-3 et CIP-013-1, dont l’entrée en vigueur était prévue au
second trimestre 2020. De ce fait, la FERC a reporté de trois mois la mise en vigueur de
ces trois normes70.
[84] Le Coordonnateur indique s’en remettre à la Régie pour ce qui est d’accorder ou non
le même report au Québec71.
[85] Pour sa part, RTA demande de prolonger d’au moins six mois de plus la date d’entrée
en vigueur des normes par rapport à celle proposée par le Coordonnateur, compte tenu de
la situation exceptionnelle de la pandémie de COVID-19 et des mesures gouvernementales
prises au cours des derniers mois, lesquelles ont eu des conséquences et des répercussions
importantes en ce qui a trait notamment aux opérations des industries au Québec.
[86] Le Coordonnateur estime qu’une prolongation de six mois de la date d’entrée en
vigueur des Normes CIP est raisonnable eu égard aux circonstances actuelles72.
Opinion de la Régie
[87] La Régie prend acte du fait que la FERC a différé de trois mois la mise en œuvre des
normes de fiabilité CIP-005-6, CIP-010-3 et CIP-013-1 dont l’entrée en vigueur aux
États-Unis était prévue pour le 1er juillet 2020.
[88] La Régie prend acte de la demande de RTA d’accorder un délai additionnel de
six mois pour l’entrée en vigueur des Normes CIP.
[89] À cet égard, la Régie est satisfaite des explications fournies par l’intervenante qui,
dans le contexte de la pandémie de COVID-19, a dû prioriser la fiabilité actuelle de ses
installations, dans le respect des normes de fiabilité en vigueur et de ses propres critères
opérationnels, pour assurer le fonctionnement en continu de ses alumineries alimentées
principalement par ses groupes de production.
70 FERC, RM17-13-000. 71 Pièce B-0014, p. 2. 72 Pièce B-0021, p. 2.
24 D-2020-118, R-4117-2020, 2020 09 10
[90] De plus, elle note que le Coordonnateur considère que la prolongation de six mois
de la date d’entrée en vigueur des Normes CIP est raisonnable eu égard aux circonstances
actuelles.
[91] Tenant compte de ce qui précède, la Régie accepte de reporter de six mois les délais
initiaux proposés par le Coordonnateur. La Régie considère que ce délai additionnel
permettra aux entités visées de concentrer leurs efforts immédiats et leurs ressources à
maintenir la stabilité et assurer la fiabilité du réseau de transport au Québec.
[92] La Régie rappelle que, par sa décision D-2015-16873, elle acceptait la proposition du
Coordonnateur de fixer les dates d’entrée en vigueur de normes et de leur Annexe Québec
au premier jour de l’un des quatre trimestres d’une année civile, soit au 1er janvier, au
1er avril, au 1er juillet ou au 1er octobre.
[93] Par conséquent, la Régie fixe :
au 1er octobre 2021 la date d’entrée en vigueur de la norme CIP-003-8 et de son
Annexe Québec, dans ses versions française et anglaise;
au 1er octobre 2021 la date de retrait de la norme CIP-003-7 et de son Annexe
Québec, dans ses versions française et anglaise;
au 1er octobre 2022 la date d’entrée en vigueur des normes CIP-005-6,
CIP-008-6, CIP-010-3 et CIP-013-1 ainsi que de leur Annexe Québec, dans leurs
versions française et anglaise;
au 1er octobre 2022 la date de retrait des normes CIP-005-5, CIP-008-5 et
CIP-010-2 ainsi que de leur Annexe Québec, dans leurs versions française et
anglaise.
73 Dossier R-3699-2009 Phase 2, décision D-2015-168, p. 17, par. 58.
D-2020-118, R-4117-2020, 2020 09 10 25
5. MODIFICATIONS AU GLOSSAIRE
[94] Le Coordonnateur demande l’adoption des modifications au Glossaire relatives aux
termes « Incident de cybersécurité » et « Incident de cybersécurité à déclarer »74 qui doivent
prendre effet dès l’entrée en vigueur de la norme CIP-008-675.
[95] Le Coordonnateur demande également la modification immédiate des termes
« automatisme de réseau », « plan de défense » et « système de protection » pour assurer
que les Normes CIP puissent faire l’objet d’une interprétation cohérente.
[96] Il explique que la NERC a créé le projet 2010-05.2 afin d’éviter l’utilisation
interchangeable des termes « Special Protection System » (SPS) et « Remedial Action
Scheme » (RAS) par les différentes régions de la NERC et afin de clarifier et détailler les
éléments du réseau inclus à ces termes. Sur ce dernier point, la NERC a proposé une
nouvelle définition du terme « Remedial Action Scheme (RAS) ».
[97] Pour ce qui est de l’interchangeabilité, le terme SPS pouvait porter à confusion. En
effet, l’inclusion des mots « Protection System » a soulevé plusieurs questionnements à la
NERC par les entités visées, notamment à savoir si les SPS étaient des sous-systèmes des
systèmes de protection définis au Glossaire de la NERC. Or, les SPS ne sont pas liés
uniquement à la détection de défauts ou de conditions anormales, ni aux déclenchements
des équipements.
[98] Pour faciliter la compréhension des normes concernant les automatismes des
réseaux, la NERC a préféré utiliser un seul terme, soit le terme RAS au lieu du terme SPS,
et adopter une nouvelle définition.
[99] Le Coordonnateur note que la traduction française actuelle au Glossaire du terme
SPS, soit automatisme de réseau (SPS), ne pose pas la même ambiguïté. En effet, ce terme
est couramment utilisé par l’industrie et il n’a pas la même signification que le terme
« système de protection ». De plus, aucun mot ne se répète entre les deux termes.
[100] À l’instar de la NERC, le Coordonnateur propose de clarifier l’utilisation de ces
termes en anglais, en déposant les nouvelles versions de normes de la NERC qui incluent
74 Pièce B-0028. 75 Pièce B-0018, norme CIP-008-6, p. 2.
26 D-2020-118, R-4117-2020, 2020 09 10
les remplacements du terme SPS par RAS, dont les Normes CIP étudiées dans le présent
dossier.
[101] De plus, tenant compte du contexte québécois et à la suite des commentaires des
entités reçus dans le cadre du dossier R-4070-2018, le Coordonnateur propose de maintenir
le terme unique « automatisme de réseau » (« Remedial Action Scheme ») (RAS) », afin de
l’appliquer dans le contexte de la NERC.
[102] Par ailleurs, le choix du Coordonnateur de conserver le terme « automatisme de
réseau » au lieu du terme « plan de défense » répond aux besoins des entités d’avoir un
terme francophone clair et plus représentatif des éléments inclus à la définition du terme
« automatisme de réseau » (RAS) de la NERC et des pratiques courantes de l’industrie.
[103] Pour ce faire, quatre modifications doivent être intégrées au Glossaire :
La définition utilisée actuellement pour le terme « plan de défense » et adoptée par
la décision D-2017-01576 doit devenir la nouvelle définition d’automatisme de
réseau. La définition est modifiée dans le but de retirer le terme « plan de défense »,
lequel n’est présent actuellement qu’une seule fois dans la définition, afin de le
remplacer par le terme « automatisme de réseau ».
L’acronyme SPS doit être remplacé par l’acronyme RAS, afin d’éviter toute
confusion avec les normes NERC (l’acronyme SPS tendra à disparaître des normes
NERC à la suite des renouvellements des normes actuellement adoptées par la Régie
et dans lesquelles cet acronyme est encore en usage).
La nouvelle définition du terme « plan de défense », encore utilisée dans quelques
normes adoptées par la Régie, doit renvoyer au terme « automatisme de réseau ».
L’acronyme RAS modifié afin de référer au terme « automatisme de réseau » ne doit
plus être relié au terme « plan de défense ».
[104] Ainsi, le Coordonnateur présente dans ce dossier les Normes CIP pour lesquelles le
terme « automatisme de réseau » (RAS) est le terme unique utilisé et défini pour traduire le
terme anglais « Remedial Action Scheme » (RAS).
76 Dossier R-3997-2016, decision D-2017-015, p. 14 et 15.
D-2020-118, R-4117-2020, 2020 09 10 27
[105] Le Coordonnateur indique que l’impact principal du remplacement dans les normes
par la nouvelle définition d’automatisme de réseaux (RAS) est que les sous-classes de SPS
n’existent plus. De ce fait, la nouvelle définition d’automatisme de réseau (RAS) supprime
la distinction actuelle entre les trois classes d’automatismes de réseau qui sont définies par
le NPCC77 soit le type I, le type II et le type III. Il en découle que les SPS de type III sont
dorénavant visés par ces normes puisqu’ils font partie de la nouvelle définition du terme
« automatisme de réseau » (RAS)78.
Opinion de la Régie
[106] La Régie rappelle que l’objectif de la mise en place du régime de fiabilité obligatoire
cible prioritairement la fiabilité des réseaux interconnectés en Amérique du Nord et que, de
ce fait, chacun des réseaux en bénéficie79 et que la panne de 2003 a été un évènement
significatif ayant mené à la mise en place du régime de fiabilité obligatoire en Amérique
du Nord.
[107] La Régie rappelle également qu’elle est dotée des pouvoirs nécessaires à l’adoption
des normes de fiabilité pour le transport d’électricité dans un cadre respectant les
compétences et les intérêts du Québec, dans le contexte où l’objectif est de mettre en place
un régime de normes de fiabilité de transport d’électricité au Québec comparable à celui
des États-Unis.
[108] Il est également de connaissance d’office que les normes de fiabilité de la NERC et
le réseau de transport au Québec ne sont pas immuables80.
[109] Dans ce contexte, la Régie souligne l’importance de suivre l’évolution des normes
de fiabilité de la NERC, incluant les différentes modifications au Glossaire, afin que les
normes de fiabilité au Québec puissent faire l’objet d’une interprétation cohérente et
équivalente à celle aux États-Unis.
[110] Quant à l’impact de l’adoption de la nouvelle définition du terme « automatisme de
réseau » (RAS), la Régie comprend de cette définition que tout comme il ne semble pas y
77 Northeast Power Coordinating Council Inc. 78 Pièce B-0029, p. 2 et 3, R1.1. 79 Dossier R-3996-2016 phase 2, décision D-2019-101, p. 119. 80 Dossier R-3997-2016, décision D-2019-178, par. 111.
28 D-2020-118, R-4117-2020, 2020 09 10
avoir une limite supérieure de ce qui représente un impact significatif, il n’y a aucune limite
inférieure non plus de ce qui représenterait un impact limité81.
[111] La Régie comprend donc que par l’adoption de la nouvelle définition du terme
« automatisme de réseau » (RAS), les automatismes qui seront dorénavant assujettis aux
normes de fiabilité le seront sur la base de cette définition et non sur la base de leur impact.
[112] À cet égard, elle note que cette définition a fait l’objet d’une consultation préalable
des entités, tel qu’indiqué par le Coordonnateur dans ses réponses aux engagements pris
lors de la séance de travail82. La Régie comprend également que la proposition du
Coordonnateur tient compte des commentaires des entités visées émis lors de la
consultation préalable.
[113] Entre autres, la Régie retient que la nouvelle définition du terme « automatisme de
réseau » (RAS) supprime la distinction actuelle entre les trois classes d’automatismes de
réseau telles que définies par la NERC, soit le type I, le type II et le type III. Elle prend acte
du fait que les automatismes SPS de type III sont dorénavant visés par les normes de
fiabilité puisqu’ils font partie de la nouvelle définition du terme « automatisme de réseau »
(RAS).
[114] Elle en déduit que les automatismes de réseau (RAS), tels que définis par la NERC,
sont considérés importants par le Coordonnateur pour la fiabilité de l’Interconnexion du
Québec, qu’ils soient classés de type I, type II ou de type III selon le « Directory #7 Special
Protection Systems » du NPCC.
[115] La Régie considère toutefois que cette nouvelle définition soulève certains
questionnements quant aux conséquences de l’adoption de la demande de modifications
proposées au Glossaire sur l’information présentée au Registre. Elle en traitera à la section
suivante.
[116] Considérant ce qui précède, la Régie est d’avis qu’il est dans l’intérêt de la fiabilité
de ne pas retarder indûment l’adoption des modifications au Glossaire, dans un objectif
81 Projet de la NERC 2010-05.2, Special Protection System (SPS) and Remedial Action Scheme (RAS) : Assesment
of Definition, Regional Practices and Application of Related Standards, consulté par le Coordonnateur le 11 juin
2018. 82 Pièce B-0029, p. 3, R1.1 et dossier R-4070-2018, pièce B-0006.
D-2020-118, R-4117-2020, 2020 09 10 29
d’harmonisation du régime de normes de fiabilité au Québec avec celui des territoires
voisins.
[117] La Régie conclut que les modifications au Glossaire proposées clarifient
l’interprétation des Normes CIP et sont aussi pertinentes au Québec qu’elles le sont ailleurs
en Amérique du Nord, en ce qu’elles permettent d’assurer que les normes CIP fassent
l’objet d’une interprétation cohérente.
[118] Par conséquent, la Régie accueille la demande de modifications proposées au
Glossaire, dans ses versions française et anglaise, et ordonne au Coordonnateur de
déposer, au plus tard le 29 septembre 2020, une version révisée du Glossaire, dans ses
versions française et anglaise.
6. MODIFICATIONS AU REGISTRE
[119] La Régie observe que dans la version du Registre en vigueur au Québec lors de la
mise en délibéré du présent dossier, il existe des références aux automatismes SPS de type
I et II :
à la colonne « L’entité possède et/ou exploite » - « Automatismes de réseau classés
type I ou II par le NPCC » de l’annexe A – Entités du Registre83;
à l’annexe E – Automatismes de réseau du Registre84.
[120] De plus, la Régie observe que seules deux entités visées par les normes de fiabilité
au Québec possèdent et/ou exploitent des automatismes de réseau classés type I ou II par
le NPCC.
[121] Elle note toutefois qu’aucune référence aux automatismes SPS de type III n’existe
actuellement au Registre. Il en va de même pour la référence aux automatismes de réseau
(RAS). Or, la Régie rappelle que l’impact principal du remplacement dans les normes par
83 Dossier R-4095-2019, pièce B-0033, p. 7 à 12. 84 Dossier R-4095-2019, pièce B-0033, p. 37.
30 D-2020-118, R-4117-2020, 2020 09 10
la nouvelle définition « automatisme de réseau » (RAS) est que les automatismes SPS de
type III sont dorénavant visés par les normes de fiabilité85.
[122] À cet égard, la Régie rappelle que par sa décision D-2018-149, elle a approuvé le
retrait des informations relatives à la localisation des automatismes de réseau à l’Annexe E
à cause de leur caractère superflu. Toutefois, elle estimait que les informations suivantes
étaient pertinentes à l’identification des automatismes de réseau visés par les normes de
fiabilité qui leur sont applicables :
le numéro d’identification au NPCC;
le type d’automatisme I ou II selon la classification du NPCC;
la nature de l’automatisme selon les catégories suivantes :
o rejet de production;
o télé-délestage de charge;
o rejet de production et télé-délestage de charge;
o télé-déclenchement d’inductance;
o séparation de réseau86.
[123] Par la décision D-2020-052, la Régie s’est prononcée comme suit :
« [263] Il y a certes lieu de se questionner sur la pertinence de cette information,
d’autant plus que le Coordonnateur soumet qu’aucune norme ne distingue en
fonction de l’identification des automatismes de réseau. Cependant, la Formation
en révision constate que la preuve présentée par le Coordonnateur dans le dossier
R-3952-2015 portait essentiellement sur la question de la localisation des
automatismes de réseau, dont le retrait du Registre a été approuvé par la Première
formation.
[264] La Formation en révision constate également que la preuve dans le présent
dossier est plus étoffée en ce qui a trait aux motifs justifiant le retrait de l’annexe
E dans son ensemble, preuve qui n’a pas fait l’objet d’un débat dans le cadre du
dossier R-3952-2015.
85 Pièce B-0029, p. 3, R1.1. 86 Dossier R-3952-2015, décision D-2018-149, p. 68 et 69, par. 264 et 265.
D-2020-118, R-4117-2020, 2020 09 10 31
[265] En tenant compte de ce contexte, la Formation en révision ne décèle pas
d’erreur fatale ou la présence d’une conclusion insoutenable en fait ou en droit de
la part de la Première formation à l’égard du motif de révision invoqué par le
Coordonnateur. Elle rejette donc la demande de révision du Coordonnateur. La
Formation en révision invite cependant le Coordonnateur à redéposer sa
proposition dans le cadre de la nouvelle demande d’approbation du Registre et de
présenter la preuve et l’argumentation à son soutien »87.
[124] Dans ce contexte, la Régie se questionne sur la pertinence de faire référence, dans le
Registre, aux types d’automatismes SPS de type I et II sans présenter les automatismes SPS
de type III qui sont dorénavant visés par les normes de fiabilité, que ce soit à l’Annexe A
ou à l’Annexe E du Registre.
[125] La Régie se questionne également sur la possibilité de procéder à des modifications
au Registre afin d’identifier, à son Annexe A, les entités qui possèdent et/ou exploitent des
automatismes de réseau (RAS) et de fournir une liste de ces automatismes à son Annexe E,
qui serait bien évidemment revue pour tenir compte des informations qui demeurent
pertinentes dans le contexte de l’adoption de la nouvelle définition du terme « automatisme
de réseau » (RAS).
[126] À cet égard, la Régie note que le Coordonnateur demande, dans le cadre du dossier
R-4070-2018, la modification des termes « automatisme de type I » et « automatisme de
type II » afin de référer à la nouvelle définition du terme « automatisme de réseau » (RAS)
ainsi que le retrait de l’Annexe E du Registre88.
[127] La Régie est d’avis que le dossier R-4070-2018 est le dossier approprié pour traiter
des impacts de l’adoption de la nouvelle définition du terme « automatisme de réseau »
(RAS) sur le Registre.
[128] En conséquence, la Régie réfère l’enjeu relatif à la modification du Registre
suivant l’adoption du terme « automatisme de réseau » (RAS) relevé dans le présent
dossier au dossier R-4070-2018.
87 Dossiers R-4073-2018 et R-4074-2018, décision D-2020-052, p. 87. 88 Dossier R-4070-2018, pièces B-0042, p. 5 et 6 et B-0044, p. 8.
32 D-2020-118, R-4117-2020, 2020 09 10
[129] Toutefois, la Régie est d’avis qu’il est opportun de procéder à une codification
intérimaire au Registre afin d’indiquer minimalement que les SPS de type III sont
dorénavant visés par les normes de fiabilité, en attendant que la formation saisie du dossier
R-4070-2018 se prononce à l’égard de la demande de retrait de l’Annexe E du Registre et
revoie l’information contenue à l’Annexe A.
[130] À titre indicatif, la Régie se questionne sur la possibilité d’ajouter une note
explicative à l’Annexe A et à l’Annexe E qui pourrait être libellée comme suit :
« Par sa décision D-2020-118, la Régie de l’énergie a adopté la nouvelle définition
du terme « automatisme de réseau » (RAS) qui supprime la distinction entre les
trois classes d’automatismes de réseau définies par le NPCC comme : type, I, type
II et type III. Ainsi, à partir de la date de publication de cette décision, les
automatismes SPS de type III sont visés par les normes de fiabilité de la NERC
adoptées et mises en vigueur par la Régie puisqu’ils font partie de la nouvelle
définition du terme « automatisme de réseau » (RAS) ».
[131] Considérant ce qui précède, la Régie demande au Coordonnateur de soumettre
une proposition de modifications au Registre, dans les meilleurs délais, qui
permettrait de refléter adéquatement le fait que les automatismes SPS de type III sont
visés par les normes de fiabilité à partir de la date de publication de la présente
décision. La Régie s’attend à ce que le Coordonnateur modifie en conséquence
l’Annexe A89 ainsi que l’Annexe E du Registre90.
[132] Pour ces motifs,
La Régie de l’énergie :
ACCUEILLE la demande du Coordonnateur;
ADOPTE les normes de la NERC CIP-003-8, CIP-005-6, CIP-008-6, CIP-010-3 et
CIP-013-1 ainsi que leur Annexe Québec, dans leurs versions française et anglaise;
89 Dossier R-4095-2019, pièce B-0033, p. 7 à 12. 90 Dossier R-4095-2019, pièce B-0033, p. 37.
D-2020-118, R-4117-2020, 2020 09 10 33
FIXE au 1er octobre 2021 la date d’entrée en vigueur de la norme CIP-003-8 ainsi que de
son Annexe Québec, dans ses versions française et anglaise;
FIXE au 1er octobre 2022 la date d’entrée en vigueur des normes CIP-005-6, CIP-008-6,
CIP-010-3 et CIP-013-1 ainsi que de leur Annexe Québec, dans leurs versions française et
anglaise;
RETIRE les normes CIP-003-7, CIP-005-5, CIP-008-5 et CIP-010-2, devenues désuètes,
ainsi que leur Annexe Québec, dans leurs versions française et anglaise;
FIXE au 1er octobre 2021 la date de retrait de la norme CIP-003-7 et de son Annexe
Québec, dans ses versions française et anglaise;
FIXE au 1er octobre 2022 la date de retrait des normes CIP-005-5, CIP-008-5 et CIP-010-2
ainsi que de leur Annexe Québec, dans leurs versions française et anglaise;
FIXE au 29 septembre 2020 la date de dépôt des normes et de leur Annexe Québec, dans
leurs versions française et anglaise adoptées et mises en vigueur dans la présente décision,
modifiées afin d’y indiquer leurs dates d’adoption et d’entrée en vigueur, selon les
ordonnances contenues à la présente décision;
ADOPTE les modifications au Glossaire et DEMANDE au Coordonnateur de soumettre,
au plus tard le 29 septembre 2020, une version complète du Glossaire révisé, dans ses
versions française et anglaise, en y ajoutant, à la section « Historique des versions », la
référence à la présente décision, de même que sa date et les modifications adoptées;
DEMANDE au Coordonnateur de soumettre une proposition de modifications au Registre,
dans les meilleurs délais, qui permettrait de refléter adéquatement le fait que les
automatismes SPS de type III sont visés par les normes de fiabilité à partir de la date de
publication de la présente décision;
34 D-2020-118, R-4117-2020, 2020 09 10
ORDONNE au Coordonnateur de se conformer à tous les éléments décisionnels de la
présente décision.
Sylvie Durand
Régisseur